Привет, сообщество!
Я новичок в USG, так что, возможно, это объясняет проблему, с которой столкнулся при настройке PBR через OpenVPN-туннель.
Для начала — конфигурация:
Vtun1 OpenVPN: настроен через конфигурационный файл и поднят. Трафик с и в удалённую сеть проходит без проблем.
openvpn vtun1 {
config-file /config/ovpn/ch-zh01.ovpn
}
vtun1 10.127.198.50 u/u
Теперь я хочу использовать этот VPN-туннель для одного клиента как основной маршрут / доступ в интернет.
Клиент имеет IP 10.100.1.52 и находится за L3-коммутатором на LAN-интерфейсе eth0 10.127.199.254.
Вот правило PBR, которое я применяю к eth0:
set protocols static table 100 route 0.0.0.0/0 next-hop 10.127.198.49
set firewall modify LOAD_BALANCE rule 3000 action modify
set firewall modify LOAD_BALANCE rule 3000 modify table 100
set firewall modify LOAD_BALANCE rule 3000 source address 10.100.1.52
set firewall modify LOAD_BALANCE rule 3000 protocol all
set interfaces ethernet eth0 firewall in modify LOAD_BALANCE
Для теста запускаю ping к адресу 193.99.144.80.
Правила применяются, но ничего больше не работает.
Я сделал tcpdump на удалённой стороне OpenVPN-туннеля и вижу, что пакеты доезжают до цели, возвращаются и идут обратно в туннель.
Удалённая сторона:
00:40:49.374490 IP 10.100.1.52 > 193.99.144.80: ICMP echo request, id 1, seq 912, length 40
00:40:49.381753 IP 193.99.144.80 > 10.100.1.52: ICMP echo reply, id 1, seq 912, length 40
На USG, интерфейс VTUN1:
7 2.350930 10.100.1.52 > 193.99.144.80 ICMP 60 Echo (ping) request id=0x0001, seq=612/25602, ttl=126 (ответ в 8)
8 2.384820 193.99.144.80 > 10.100.1.52 ICMP 60 Echo (ping) reply id=0x0001, seq=612/25602, ttl=242 (запрос в 7)
А теперь на USG, интерфейс eth0:
1 0.000000 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=654/36354, ttl=127 (ответ не найден!)
4 4.973559 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=655/36610, ttl=127 (ответ не найден!)
7 9.972599 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=656/36866, ttl=127 (ответ не найден!)
Похоже, USG фильтрует входящие reply-пакеты, когда они приходят с vtun1.
VTUN1 создан не через GUI, так как другая сторона — PFSense-узел. Возможно, не хватает каких-то настроек фаервола, но, будучи новичком в этом продукте, я не знаю, что именно.
Надеюсь, кто-то поможет направить меня в нужное русло.
Спасибо за внимание и помощь!
Мартин
USG Firmware: 4.4.22.5086057
Controller: 5.8.16
Я новичок в USG, так что, возможно, это объясняет проблему, с которой столкнулся при настройке PBR через OpenVPN-туннель.
Для начала — конфигурация:
Vtun1 OpenVPN: настроен через конфигурационный файл и поднят. Трафик с и в удалённую сеть проходит без проблем.
openvpn vtun1 {
config-file /config/ovpn/ch-zh01.ovpn
}
vtun1 10.127.198.50 u/u
Теперь я хочу использовать этот VPN-туннель для одного клиента как основной маршрут / доступ в интернет.
Клиент имеет IP 10.100.1.52 и находится за L3-коммутатором на LAN-интерфейсе eth0 10.127.199.254.
Вот правило PBR, которое я применяю к eth0:
set protocols static table 100 route 0.0.0.0/0 next-hop 10.127.198.49
set firewall modify LOAD_BALANCE rule 3000 action modify
set firewall modify LOAD_BALANCE rule 3000 modify table 100
set firewall modify LOAD_BALANCE rule 3000 source address 10.100.1.52
set firewall modify LOAD_BALANCE rule 3000 protocol all
set interfaces ethernet eth0 firewall in modify LOAD_BALANCE
Для теста запускаю ping к адресу 193.99.144.80.
Правила применяются, но ничего больше не работает.
Я сделал tcpdump на удалённой стороне OpenVPN-туннеля и вижу, что пакеты доезжают до цели, возвращаются и идут обратно в туннель.
Удалённая сторона:
00:40:49.374490 IP 10.100.1.52 > 193.99.144.80: ICMP echo request, id 1, seq 912, length 40
00:40:49.381753 IP 193.99.144.80 > 10.100.1.52: ICMP echo reply, id 1, seq 912, length 40
На USG, интерфейс VTUN1:
7 2.350930 10.100.1.52 > 193.99.144.80 ICMP 60 Echo (ping) request id=0x0001, seq=612/25602, ttl=126 (ответ в 8)
8 2.384820 193.99.144.80 > 10.100.1.52 ICMP 60 Echo (ping) reply id=0x0001, seq=612/25602, ttl=242 (запрос в 7)
А теперь на USG, интерфейс eth0:
1 0.000000 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=654/36354, ttl=127 (ответ не найден!)
4 4.973559 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=655/36610, ttl=127 (ответ не найден!)
7 9.972599 10.100.1.52 > 193.99.144.80 ICMP 74 Echo (ping) request id=0x0001, seq=656/36866, ttl=127 (ответ не найден!)
Похоже, USG фильтрует входящие reply-пакеты, когда они приходят с vtun1.
VTUN1 создан не через GUI, так как другая сторона — PFSense-узел. Возможно, не хватает каких-то настроек фаервола, но, будучи новичком в этом продукте, я не знаю, что именно.
Надеюсь, кто-то поможет направить меня в нужное русло.
Спасибо за внимание и помощь!
Мартин
USG Firmware: 4.4.22.5086057
Controller: 5.8.16

